Подпишитесь на нашу ежедневную рассылку с новыми материалами

В Беларуси

опубликовано: 
обновлено: 
Олег Галкин,

Многочисленные пользователи интернета заговорили о появлении трояна, который распространяется через Skype. После срабатывания он блокирует доступ ко многим антивирусным сайтам и предлагает воспользоваться “бесплатными” SMS.
 
Особенность трояна заключается в том, что он маскируется под сообщение от пользователя, находящегося в списке контактов. Поэтому оно может прийти даже от человека, которому вы доверяете. Троян распространяется следующим образом: приходит сообщение вида "ey eto vasha novaya kartina profil'?", затем следует ссылка с именем адресата. После активации ссылки на компьютер устанавливается вредоносное ПО, которое блокирует доступ к сайтам производителей антивирусов и ряду других, а затем рассылает само себя по контактному листу запустившего его пользователя Skype.

Ссылка ведет на сайт файлообменника. Троян блокирует доступ к сайтам, доменные имена которых содержат следующие слова: webroot., fortinet., virusbuster.nprotect., gdatasoftware., virus., precisesecurity., lavasoft., heck.tc, emsisoft., onlinemalwarescanner., onecare.live., f-secure., bullguard., clamav., pandasecurity., sophos., malwarebytes., sunbeltsoftware., norton., norman., mcafee., symantec, comodo., avast., avira., avg., bitdefender., eset., kaspersky., trendmicro., iseclab., virscan., garyshood., viruschief., jotti., threatexpert., novirusthanks., virustotal.


 
Как бороться с этим трояном, уже активно обсуждают на Хабрахабре и на форуме Skype. Ссылку на него получили многие белорусские интернет-пользователи и даже некоторые сотрудники TUT.BY.
 
За комментарием по данному вопросу мы обратились в компанию “ВирусБлокАда”:
 
“Наши вирусные аналитики уже изучают это вредоносное ПО, - сообщил специалист по IT Дмитрий Ледяев, - подробный отчет по нему мы сделаем позже. Пока рекомендуем не ходить по неизвестным ссылкам, а также проверить настройки вашего Skype на предмет наличия в нем подозрительных приложений. После обнаружения таковых их необходимо тут же удалить. Во вкладке "Настройки > Дополнительно > Расширенные настройки > Контроль доступа других програм к Skype" не должно быть никаких программ".



Спустя несколько часов эксперты рассказали, что это за червь и как с ним бороться.

Комментарий вирусного аналитика компании "ВирусБлокАда" Алексея Герасименко.

По ссылке пользователю предлагается скачать архив ZIP, содержащий .exe файл. Этот файл представляет из себя сетевой червь Worm.NgrBot (или Dorkbot), известный уже достаточно давно. Он содержит в себе бэкдор-компоненту для подключения заражённого компьютера в ботнет. Команды от управляющего сервера передаются по IRC протоколу. Крадёт пароли к учётным записям от таких сервисов, как YouTube, Gmail, Facebook, Letitbit, Sms4file, Vip-file, и др. Содержит функционал для проведения DDoS-атаки и перенаправления пользователя на вредоносные сайты.

Характерная черта Worm.NgrBot – для определения IP-адреса заражённого компьютера обращается на сайт api.wipmania.com.

Распространяется он через социальные сети, отправляя ссылки на себя в популярных социальных сетях и сервисах обмена мгновенными и сообщениями (Vkontakte, Facebook, Twitter и т.д.).

Может распространяться через флэш-носители, используя широко известный механизм автозапуска посредством файла autorun.inf. При этом вредоносный файл располагается в скрытой папке RECYCLER"

Один из вариантов лечения

Так как файл вредоносной программы скрыт от обнаружения стандартными средствами Windows благодаря установленным в системе перехватам API функций, для его обнаружения и удаления можно использовать специальные утилиты, например Vba32 AntiRootkit.

1. После запуска антируткита в появившемся диалоге ответить “No” и дождаться его загрузки;

2. Выбрать в меню Tools > Low Level Disk Access Tool;

3. В левой части окна утилиты "Level Disk Access Tool" выбрать путь к папке %APPDATA%. Например, в ОС Windows XP путь к %APPDATA% имеет вид "Х:\Documents and Settings\Username\Application Data", в Windows Vista и 7 – “X:\Users\Username\AppData\Roaming”, где X: - имя системного диска, Username – имя пользователя;

4. При этом в правой панели утилиты станет виден вредоносный файл с бессмысленным именем наподобие Yojwju.exe;

5. Щелчком правой кнопки мыши по файлу вызвать контекстное меню, в котором нужно выбрать команду "Delete File" (см. рисунок);

6. В появившемся диалоге подтвердить удаление файла нажатием на кнопку "Yes";

7. Выйти из антируткита и перезагрузить компьютер.

Смотрите также: Как мошенники зарабатывают деньги в Сети?
Нужные услуги в нужный момент
{banner_819}{banner_825}
-20%
-20%
-15%
-50%
-35%
-90%
-15%
-20%
-10%